7. jūnijā kāds ievietoja a Reddit vītne kuru foruma moderators vēlāk izdzēsa. Pavediens saturēja nopietnu pretenziju — Osmosis tīklā bija kļūda, kas ļāva likviditātes nodrošinātājiem nopelnīt papildu 50%, pievienojot un izņemot likviditāti.
Osmoze (ASTOŅI) ir blokķēde Cosmos ekosistēmā, kas piedāvā decentralizētu apmaiņu un maku.
Prasība šķita maz ticama, līdz tīkls tika apturēts ārkārtas apkopes dēļ.
Sveiki @osmosiszone draugi. No bloka #4713064 osmozes ķēde ir apturēta ārkārtas apkopes dēļ.
Šobrīd Osmosis DEX un Wallet nedarbojas, kamēr nav pabeigts remonts.
?Lūdzu, pagaidiet, kamēr izstrādātāji strādā, lai mūs atgrieztos.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Jūnijs 8, 2022
Lai gan Osmozes komanda tobrīd neatzina varoņdarbu, apstāšanās notika pēc tam, kad daži uzbrucēji bija iztērējuši aptuveni 5 miljonus dolāru.
Likviditātes baseini NEBIJA “pilnīgi iztukšoti”.
Izstrādātāji novērš kļūdu, nosaka zaudējumu apmēru (iespējams, aptuveni 5 miljoni dolāru) un strādā pie atkopšanas.
Papildu informācija būs pieejama. https://t.co/WOu7MMgSUM
— Osmoze? (@osmosiszone) Jūnijs 8, 2022
Osmozes komanda ir identificējusi kļūdu un izstrādājusi ielāpu, kas tiek pārbaudīta pirms izvietošanas. Izstrādātāji joprojām strādā pie tīkla restartēšanas.
Atjauninājums: kļūda ir identificēta un uzrakstīts ielāps.
Notiek papildu testēšana, pirms tiek ieteikts pārbaudītājiem, lai koordinētu restartēšanu.
Pilns kļūdu ziņojums un rīcības plāns rūpīgākai un pareizākai ķēdes jauninājumu testēšanai no gala līdz beigām, kas sekos tuvākajās dienās. https://t.co/DjJMOEQxrT
— Osmoze? (@osmosiszone) Jūnijs 8, 2022
Tātad uzbrucējiem izdevās izmantot tīklu šādi, kā liecina ķēdes darbība:
Kāds Twitter lietotājs savā pavedienā norādīja, ka viens no uzbrucējiem pievienoja likviditāti USD monētas veidā (USDC) un OSMO. Pēc tam uzbrucējs pretī saņēma GAMM LP žetonus, kas atspoguļoja viņu daļu baseinā. Šie vainīgie nekavējoties izņēma GAMM LP žetonus, tādējādi iegūstot 50% papildus nekā USDC un OSMO summa, kas tika pievienota kā likviditāte.
Pirmkārt, acīmredzot kāds apakšrežisors to izsauca kādu laiku atpakaļ.
➼ Tātad maks (osmo1hq) ir izmantotājs.
Vispirms viņš nodrošina Likviditāti formā USD USDC (Es to pārbaudīju avota kodā) + $ OSMO
Pēc tam viņš saņem $GAMM LP žetoni pretī. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Jūnijs 8, 2022
Pēc tam vainīgais apmainīja OSMO žetonus pret ATOM un nosūtīja uz citiem makiem. Šis pats process tika atkārtots atkal un atkal - katru reizi, kad uzbrucējs ieguva par 50% vairāk žetonu.
Lielākā daļa ieņēmumu no OSMO tika apmainīti pret ATOM un pārskaitīti uz maku, kurā ir 9 miljonus dolāru vērti ATOM marķieri, teikts Twitter pavedienā. Tomēr šajā makā nebija USDC marķieru, ko uzbrucējs ieguva, izmantojot kļūdu — USDC marķieri netika nedz apmainīti, nedz pārsūtīti, tika pievienots pavediens.
Kad viņš ir izklaidējies,
➼ Viņš nosūta USD ATOM ārā uz virkni citu maku.
Ir grūti pateikt uz https://t.co/o02L0T5QtQ skeneris, cik tas kopā bija, bet es izsekoju maciņus un… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Jūnijs 8, 2022
Osmoze identificē uzbrucējus; FireStake nāk klajā
Četri uzbrucēji ir identificēti kā galvenie vainīgie, kuri nozaga vairāk nekā 95% no izmantotā daudzuma, teikts Osmosis Twitter pavedienā. Divi no četriem uzbrucējiem ir brīvprātīgi atdevuši visus nozagtos līdzekļus. Pārējām divām ir darījumi uz un no centralizētajām biržām, kuras ir brīdinātas, lai identificētu vainīgos un atgūtu līdzekļus.
Update:
– Identificētas 4 personas, kas veido 95%+ no realizētā ekspluatācijas apjoma.
– 2 no 4 personām ir proaktīvi izteikušas nodomu pilnībā atdot izmantoto apjomu.
— Osmoze? (@osmosiszone) Jūnijs 8, 2022
Gandrīz stundu pēc Osmosis tvīta ziņojuma par uzbrucējiem FireStake — Cosmos ekosistēmas validators — nāca klajā tvītā un atzina, ka ir izmantojis LP kļūdu, taču atzīmēja, ka viņi cenšas “noregulēt lietas pareizi” un sadarbojas ar Osmosis komandu. atdot izmantotos līdzekļus.
Dārgais @osmosiszone kopienas, daudzi no jums zina par Osmosis LP kļūdu, kas notika vakar.
Neticot, ka tas ir īsts, divi dalībnieki no @fire_stake sāka testēšanu, lai noskaidrotu, vai kļūda pastāv, testēšana pārauga par īslaicīgu pārtraukumu pēc laba sprieduma, un…
— FireStake | Validators (@stake_fire) Jūnijs 8, 2022
šajā procesā mums izdevās konvertēt $226 USD uz ~$2M. Mēs domājām par savas ģimenes nākotni, nevis par mūsu kopienas nākotni.
Neilgi pēc tam, kad tas bija izdarīts, mēs visu nakti uzsvēra, kā mēs varam sakārtot lietas. Pašlaik strādājam ar Osmozes komandu…
— FireStake | Validators (@stake_fire) Jūnijs 8, 2022
lai pēc iespējas ātrāk atgrieztu līdzekļus. Mēs arī sadarbojamies ar Osmozes komandu, lai mudinātu ikvienu, kas izmantoja šo situāciju, atsaukties un atgriezt līdzekļus.
Laipni lūdzam nākt pie mums, un mēs varam palīdzēt darboties kā saziņai. Mums tas ir jālabo.
— FireStake | Validators (@stake_fire) Jūnijs 8, 2022
Avots: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/